思科CCIE安全培训学习笔记

于 2024-04-17 20:20:54 发布
阅读量304 收藏 10
点赞数 3
文章标签: 网络 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2302_80814292/article/details/137887322
版权
本文详细介绍了思科ASA中的两种主要NAT规则类型:TwiceNAT和NetworkObjectNAT,包括它们的特点、配置方式和适用场景,以及它们在访问控制列表中的应用和顺序规则。
摘要由CSDN通过智能技术生成

从ASA 8.31开始(习惯称为8.3开始,其实还有个8.30是老NAT),改为新的NAT设计。

 

思科CCIE安全培训学习笔记-只有两种NAT规则类型:

 

(1)Twice NAT (二次NAT,手动NAT)

 

(2)Network Object NAT (自动NAT)

 

特点:

 

(1)access-list注意要放行真实地址(与pre 8.3不同)

 

(2)助你记忆:Network Object NAT的命令格式中, nat 是object network的参数; Twice NAT中,object network是nat的参数

 

(3)你要转换什么地址,就定义这个地址的Network Object,然后加nat参数定义转换规则

 

一、Network Object NAT

 

——要么转换源地址,要么转换目的地址

 

(1)一个规则只能做一项转换(要么是源,要么是目的)

 

(2)一个数据包只能匹配上一个转换规则,之后就不会再匹配其他规则(自上至下)

 

(3)规则执行是有顺序的,系统会自动将所有network object nat规则进行排序,顺序:

 

(a)static优于dynamic

 

(b)掩码越长越优先

 

(c) IP地址越小越优先

 

(d)object名字字母越小越优先

 

(4)对于转换后地址为一个单一地址的情况下,可以直接写,也可以调用另一个定义好的object,好处是方便在不同策略中多次调用。如果是地址范围,就只能定义object了。

 

二、Twice NAT

 

——用于策略NAT转换,既能转换源地址,也能转换目的地址

 

(1)一个规则内既能转换源地址,也能转换目的地址

 

(2)一个数据包同样只能匹配上一个转换规则,之后就不会再匹配其他规则(自上至下)

 

(3)Twice NAT 规则执行顺序: 手动调整(行号)

 

(4)定义转换前转换后各个地址,都只能通过object来定义,不能直接写地址

 

(5)Twice NAT可以调用object也可以调用object-group,而Network Object NAT只能在object中使用,不能在object-group中使用

 

三、两者之间的关系

 

https://pics2.baidu.com/feed/d8f9d72a6059252d643a430779faea315bb5b974@f_auto?token=3d97acab3643ae456248205c049c3a76&f=png

对于系统整体而言,所有的Twice NAT和Network Object NAT策略会共同形成一套统一的NAT规则表。可以通过show nat 查看,规则表分为三个部分(Section 1 ~ 3)。分别是:

 

(1)Twice NAT

 

(2)Network Object NAT

 

(3)Twice NAT with "after-auto" 参数

 

一般情况下都推荐使用Network Object NAT(可以满足绝大多数场景),个别情况下使用Twice NAT

 

1. 动态一对一转换

 

传统配置:

 

nat (inside) 1 10.1.1.0 255.255.255.0

 

global (outside) 1 202.100.1.100-202.100.1.200

 

新配置(Network Object NAT)

 

object network Outside-Pool

 

range 202.100.1.100 202.100.1.200

 

object network Inside-Network

 

subnet 10.1.1.0 255.255.255.0

 

nat (inside,outside) dynamic Outside-Pool

 

注:object network Inside-Network下两句话可以连打,但show run会看到subnet/host/range与nat会分别在两个相同的object network下显示,中间被其他配置隔开,变成:

 

object network Inside-Network

 

subnet 10.1.1.0 255.255.255.0

 

……………………

 

object network Inside-Network

 

nat (inside,outside) dynamic Outside-Pool

 

2. 动态PAT (多对一)

 

传统配置:

 

nat (inside) 1 10.1.1.0 255.255.255.0

 

global(outside) 1 202.100.1.101

 

新配置(Network Object NAT)

 

object network Outside-PAT-Address

 

host 202.100.1.101

 

object network Inside-Network

 

subnet 10.1.1.0 255.255.255.0

 

object network Inside-Network

 

nat (inside,outside) dynamic Outside-PAT-Address

 

或者直接写PAT地址

 

nat (inside,outside) dynamic 202.100.1.101

 

或直接复用接口地址 (global (outside) 1 interface )

 

nat (inside,outside) dynamic interface

 

注:还可以写subnet 0.0.0.0 0.0.0.0 表示内网所有地址都转换

 

如果是多个地址做PAT复用地址的话:

 

传统配置:

 

global (outside) 1 202.100.1.101

 

global (outside) 1 202.100.1.102

 

新配置:

 

object network Outside-PAT-Pool

 

range 202.100.1.101 202.100.1.102 //只能是连续地址, 如果不是连续地址,用obj-group做

 

nat (inside,outside) dynamic pat-pool Ouside-PAT-Pool

 

后面还可跟round-robin参数,表示多个PAT地址轮流使用,而不是耗尽第一个才用第二个

 

2.5 先做动态一对一,地址不够了再做PAT

 

传统配置:

 

nat (inside) 1 10.1.1.0 255.255.255.0

 

global(outside) 1 202.100.1.101--109

 

global(outside) 1 202.100.1.110

 

新配置(Network Object NAT)

 

object network Inside-Network

 

subnet 10.1.1.0 255.255.255.0

 

object network Outside-Pool-Address

 

range 202.100.1.11 202.100.1.22

 

object network Outside-PAT-Pool

 

host 202.100.1.110

 

object network Inside-Network

 

nat (inside,outside) dynamic Outside-Pool-Address pat-pool Outside-PAT-Pool

 

注: 或者PAT地址池也不够了,再用接口地址复用,就在后面再加interface参数

 

3. Identity NAT (等同转换)

 

传统配置:

 

nat (inside) 0 10.1.1.1 255.255.255.255

 

 新配置(Network Object NAT)

 

object network Inside-Address

 

host 10.1.1.1

 

object network Inside-Address

 

nat (inside,outside) static Inside-Address

 

或者直接写转换后地址

 

nat (inside,outside) static 10.1.1.1

 

4. 静态一对一转换

 

传统配置:

 

static (inside,outside) 202.100.1.101 10.1.1.1

 

新配置(Network Object NAT)

 

object network Static-Outside-Address

 

host 202.100.1.101

 

object network Static-Inside-Address

 

host 10.1.1.1

 

object network Static-Inside-Address

 

nat (Inside,Outside) static Static-Outside-Address

 

或者

 

nat (Inside,Outside) static 202.100.1.101

 

5. 静态端口转换

 

传统配置:

 

static (inside,outside) tcp 202.100.1.102 2323 10.1.1.1 23

 

 

 

新配置(Network Object NAT)

 

object network Static-Outside-Address

 

host 202.100.1.102

 

object network Static-Inside-Address

 

host 10.1.1.1

 

object network Static-Inside-Address

 

nat (Inside,Outside) static Static-Outside-Address service tcp 23 2323

 

或者

 

  nat (Inside,Outside) static 202.100.1.102 service tcp 23 2323

 

6. Twice NAT

 

多个不同的流量,只转换源地址,不转换目的地址

 

传统配置:

 

access-list inside-to-1 permit ip 10.1.1.0 255.255.255.0 host 202.100.1.1

 

access-list inside-to-2 permit ip 10.1.1.0 255.255.255.0 host 202.100.1.2

 

nat (inside) 1 access-list inside-to-1

 

nat (inside) 2 access-list inside-to-2

 

global (outside) 1 202.100.1.101

 

global (outside) 2 202.100.1.102

 

新配置(Twice NAT):

 

object network dst-1

 

host 202.100.1.1

 

object network dst-2

 

host 202.100.1.2

 

object network pat-1

 

host 202.100.1.101

 

object network pat-2

 

host 202.100.1.102

 

object network Inside-Network

 

subnet 10.1.1.0 255.255.255.0

 

nat (inside,outside) source dynamic Inside-Network pat-1 destination static dst-1 dst-1

 

nat (inside,outside) source dynamic Inside-Network pat-2 destination static dst-2 dst-2

 

思科CCIE安全培训学习笔记-既转换源地址,也转换目的地址

 

说明:这种需求极为少见,例如两个私网(A,B)中间隔了一个公网,A私网只想直接通过B私网的地址去访问,就需要把A的源地址转换成公网地址,并且把目的地址B也转换成公网地址。当然需要在B的公网出口也做同样的工作。

 

传统配置:

 

access-list inside-to-1 permit ip 10.1.1.0 255.255.255.0 host 202.100.1.1

 

nat (inside) 1 access-list inside-to-1

 

global (outside) 1 202.100.1.101

 

static (outside,inside) 10.1.1.101 202.100.1.1

 

新配置方法(Twice NAT):

 

object network dst-1

 

host 202.100.1.1

 

object network pat-1

 

host 202.100.1.101

 

object network Inside-Network

 

subnet 10.1.1.0 255.255.255.0

 

object network map-dst

 

host 10.1.1.101

 

nat (inside,outside) source dynamic Inside-Network pat-1 destination static map-dst-1 dst-1

 

手工调整Twice Nat规则顺序

 

show nat

 

可以看到每条twice nat规则前面的序号,针对此序号操作,与access-list方法相同

 

如,在当前第1条前面插入一条:

 

nat (inside,outside) 1 source …… //插入到第1,将当前的第1行往下挤

 

NAT 0 + ACL 为什么不需要了

 

https://pics2.baidu.com/feed/f3d3572c11dfa9ec135e37d231b11e09908fc16b@f_auto?token=1981c8d369d43dc6e28d68404a0ad985&f=jpeg

nat (inside) 1 30.0.0.0 255.255.255.0

 

global (outside) 1 interface

 

这两条配置做完, Inside路由器可以PAT转换后访问到Outside路由器,但会发现Inside到dmz不通了。就是因为nat (inside) 1 影响到了 inside去往其他接口的流量(没有定义转换项)

 

解决办法是加上:

 

access-list IN-TO-DMZ permit ip 30.0.0.0 255.255.255.0 20.0.0.0 255.255.255.0

 

nat (inside) 0 access-list IN-TO-DMZ

 

但是在Network Object Nat中, nat (inside,outside) 已经明确关联了两个接口,自然就不会影响到inside去dmz了。

 

等同转换和NAT免除都取消了,改为使用twiceNAT完成:

 

nat (inside,outside) source dynamic NONAT-Network NONAT-Network destination static DST-Network DST-Network //mapped 和 real 相同,等于不翻译,或是等同翻译。 加之twiceNAT可以指定源地址和目的地址,即是可以匹配特定流量。

菜鸟啄
关注
  • 3
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
思科网络设备配置笔记
qq_70242064的博客
01-10 1037
三种配置模式的切换;网络设备命名;查看网络设备的配置文件;保存配置文件;重启网络设备;VLAN配置;配置Trunk;生成树;链路聚合;SVI技术....................
思科入门学习笔记
BboyAXu的博客
09-01 1183
自己整理的思科常用的命令和操作
CCIE-虚拟私有网络 学习笔记01 - 拟私有网络概念、实现原理及IPsec
zhangxm_qz的博客
03-16 2271
CCIE-VPN完整版01VPN 使用场景及概念隧道技术GRE (Generic Routing Encapsulation )加密技术IPsec 最近读CCIEVPN材料,对VPN的实现细节有了深入理解。在此记录并分享 VPN 使用场景及概念 当不同的远程网络通过 Internet 连接时,比如上海和北京的两个分公司通过Internet 连接时,网络之间的互访将会出现一些问题,如下情景 由于上海和北京的两个分公司内部网络分别使用了私有 IP 网段10.1.1.2 和 192.168.1.4,而私有 IP
CISCO学习笔记(一)各种线缆介绍及路由基本配置
My Inspiration World _" Franz °
10-10 4323
数据跟踪命令: tracert 172.16.3.2   568A 橙白 橙 绿白 蓝 蓝白 绿 棕白 棕 568B 1-3 2-6 绿白 绿 橙白 蓝 蓝白 橙 棕白 棕 568A-568B  568B-568B 直通线不同种设备相连 交换机-路由器 交换机-PC 路由器-集线器                                            当然,端
思科笔记
chengtao的博客
04-27 741
CCNA计算机网络   谢希仁   第五版====================================================计算机网络:两台或两台以上的自治计算机系统通过传输介质连接达到一个资源共享的目的ISO在1983年推出了OSI七层模型应用层:提供人机交互的界面和接口  数据表示层:提供一个格式转换的功能     数据会话层:主机和主机建立会话     数据传输层:...
思科数据中心CCIE学习笔记 呕心沥血
02-11
内部的数据中心级NEXUS系列交换机的设备特性及配置特性讲解 ,很好的笔记
China-CCIE-学习笔记.rar
07-29
China-CCIE-学习笔记(拓扑_需求_解法_配置)
ccnp-ccie完全学习笔记(已表格形式表示).zip
07-29
这份名为“ccnp-ccie完全学习笔记(已表格形式表示).zip”的压缩包文件,包含了一本详细的学习资料,旨在帮助用户掌握CCNP(Cisco Certified Network Professional)和CCIE(Cisco Certified Internetwork Expert)...
CCIE路由学习笔记-1
03-29
这篇“CCIE路由学习笔记-1”主要探讨了静态路由的相关知识,包括静态路由的特点、配置下一跳IP和本地接口的区别以及浮动静态路由的原理。 1. 静态路由特点: 静态路由是一种手动配置的路由,它允许管理员精确地...
Cisco命令笔记,忘记就来看看
11-15
计算机网络学习笔记,如果忘记了,就来看看怎么写,ok?
[IE人生]最详细的CCNA笔记+实验总结
11-02
包含三个文档:最详细的CCNA笔记、CCNA学习笔记思科CCNA实验总结。都是不错的资料。
思科课堂笔记
09-01
课程里包含了静态路由、动态路由、策略路由、路由策略、ACL等相关的技术资料和案例。
思科学习笔记.zip
01-17
思科学习笔记.zip
思科OSPF笔记
四川的小熊猫的博客
06-19 994
单区域OSPF OSPF的特征 OSPF是一种流行的、多厂商开放标准的无类链路状态路由协议 一种链路状态路由协议 无类路由协议 开放最短路径优先 功能: 无类 OSPFv2被设计为无类方式;因此,可支持IPv4 VLSM和CIDR 高效 路由变化会触发路由更新(非指定更新) 使用SPF算法选择最优路径 快速收敛 能够迅速传播网络变化 可扩展 在小型和大型网络中都能够良好运行 路由器可以分为多个区域,以支持分层结构 安全 启用身份验证时,OSPF路由器只接受来自对
思科模拟器学习笔记(持续更新ing.....)
m0_51613082的博客
10-28 550
设置主机IP地址 1.IP地址、子网掩码和默认网关 (1).IP地址 每个主机只能有一个IP地址,是在一个局域网中给主机分配的,并不是不变的,如果局域网发生变化,主机的IP地址也会随之改变,它只在某个局域网中唯一。 (2).子网掩码 每个网络如果我们没有划分子网的话,子网掩码应该都是255.255.255.0(就以C类地址举...
思科网络基础知识》学习笔记I
qq_30717683的博客
03-30 2753
Internet在我们现今生活中所扮演的重要角色 人们获取知识的渠道或者是沟通交流: 1.口口相传 2.书本、报刊 3.互联网(载体、平台) 通信工具:即时消息(IM)、博客、博客、维基、自媒体 通信的规则也被称作协议(双方都遵守的规则),一些通信所需的协议包括:标识出发送方和接收方 双方一致同意的通信方法 通用语言 共同约定的传递速度和时间 证实或确认要求 成功的通信标志是信息的接收者所理解
个人思科学习笔记总结
baiseda
03-19 438
自学思科路由器配置已经有一个月了。虽然,学得还还很肤浅但也算略有所成。 学习笔记总结如下:一,理论知识:可参阅路由器原理及路由协议http://bbs.cniti.com/cgi-bin/topic_show.cgi?id=350401994&h=1&bpg=2&age=0路由器主要用于两AS自治系统间的连接。根据用途和设备性能的不同主要分为,主干路由器如12000 、集散...
思科笔记1....
最新发布
m0_74192729的博客
10-17 537
enable 使可能;错误指令:no ip domain-lookup。直通线:T568A——————T568A 相同线。交叉线:T568A——————T568B 不同线。S1-Centraal(config)#配置模式。strigt-throgh直通线。cross-over交叉线 同类。介质:有线——网线(cat5e)3.路由器和交换机上配置主机名。S1-Central>用户模式。S1-Central#特权模式。2.研究常用的show命令。FastE F口/以太网口。serial串口/S口。
红茶三杯的CCIE IP Routing学习笔记
这篇资源是红茶三杯,一位专注于网络工程、项目管理和IT服务管理的专业人士,所编写的CCIE学习文档,主要涵盖了IP路由相关的知识,旨在帮助读者从零基础逐步掌握到CCIE级别。文档包括IP路由概述、CISCO数据转发方式...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

菜鸟啄

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值